هل يمكن أن تكون مسؤولا إذا تم اختراق موقعك الإلكتروني؟

لا تنطوي الجريمة ضد الشركات والخدمات وتجار التجزئة عادةً على أعمال تجارية فعلية كما اعتادت على ذلك. بدلا من ذلك ، ما نجد أنه ارتفاع في الجريمة السيبرانية من كل من "المستقلين" والنقابات الاختراق. انهم يريدون معلومات المستخدم الحساسة لبيع لصوص الهوية (أو استخدام أنفسهم).

ومع ذلك ، ماذا عن العواقب القانونية على الشركات التي تقع ضحية لهذه الهجمات؟ هل لديهم مسؤولية لحماية المعلومات؟ وما مدى تلك المسؤولية؟

الجواب القصير ، ذلك يعتمد. في معظم المجتمعات الحديثة ، هناك عدد قليل جدا من حالات القطع والمجفف عندما يتعلق الأمر بالمسؤولية. هناك درجات من المعقولية ، والدينونة ومسائل الحجم للنظر فيها. بالنظر إلى أن المواقع يمكن التعامل مع الملايين من المستخدمين و قدرا كبيرا من المال على أساس منتظم ، وبالتالي ملايين من المعلومات الخاصة المحتملة ، فإن الإجابة الواضحة مستحيلة.

كملاحظة ، فإن معظم ما حدث قد تم تطبيقه في الغالب على الشركات الكبيرة ، ولكن إذا كنت تدير شركة صغيرة (تستند إلى الويب أو غير ذلك) ، فسيتم تطبيق معظم القوانين نفسها في حالة تعرض موقعك الإلكتروني لخطر الاختراق.

دعنا نلقي نظرة على عدد قليل من الحالات السابقة والمخالفات لتحديد مخاطرك بشكل أفضل:

خرق البيانات: المقياس والأنواع

لنفترض ، من الناحية النظرية ، أن نشاطك التجاري قد وقع ضحية لخرق البيانات. قبل حضورك للضرر ، تحتاج إلى تحديد نطاق الهجوم. كيف واحد يفعل هذا؟

أولاً ، لننظر في البيانات التي تمت سرقتها:

• لن يواجه نشاطك التجاري مشكلة قانونية كبيرة بسبب سرقة عنوان البريد الإلكتروني. قد لا تلاحظ الضحية حتى. عناوين البريد الإلكتروني رخيصة وشائعة ، وكثيرًا ما يكون خرقًا صغيرًا أو اختراقًا لقوائم المشتركين هو سبب هذا الانتهاك.
• معلومات الحساب هي مسألة أخرى. إذا تم سرقة الحسابات من موقع الويب الخاص بك ، فمن الممكن الاحتيال ، وبالتالي ، من الممكن حدوث أضرار.
• إذا حدث خرق للبيانات وتم سرقة المعلومات المالية والمعلومات التعريفية لعملائك ، وخاصةً بشكل جماعي ، فستكون هناك مشكلة إذا كان من الممكن العثور عليك على إهمال. سوف تحدث سرقة الهوية ، ويمكن أن تنشأ مشاكل أخرى محتملة (النظر في ما يمكن أن يفعله المجرم مع عنوان شخص ما).

يمكن أن المقياس أيضا أهمية كبيرة. يتم فرض العديد من المستوطنات والغرامات على كل شخص متضرر (كما هو الحال بالنسبة لطبيعة الدعوى الجماعية). يمكن لشركتك على الأرجح تحمل خسارة سجلات 10 حيث أنه من غير المحتمل أن يؤدي خرق هذا الحجم إلى رفع دعوى أمام المحكمة. ومع ذلك ، لا يمكن معالجة فقدان السجلات المالية لـ 100,000. على سبيل المثال ، الهدف دفعت مؤخرًا تسوية بمبلغ 18.5 مليون دولار إلى حكومات الولايات المختلفة لخرق بيانات 2013 التي تنطوي على ملايين من سجلات بطاقات الائتمان.

ما هي الأسبقية التي تم تعيينها؟

من الناحية الجوهرية ، فإن القانون يتعلق بالسابقة بقدر ما يتعلق بما هو مكتوب في الكتب ، لذلك دعونا ننظر إلى ما نعرفه من الانتهاكات والحالات السابقة:

1- الشركات يمكن أن تكون مسؤولة (أو ستصبح عاجلاً)

تتحمل الشركات والمواقع الإلكترونية مسؤولية تجاه عملائها وعملائها. وهذا هو الحال بشكل خاص في بعض المجالات ، مثل الرعاية الصحية والقانون ، حيث كان لسوء التعامل مع السجلات والسرية عواقب بعيدة قبل عصر الإنترنت. لا تزال هذه القواعد سارية ، وإذا كان موقع الويب الخاص بك يعمل في حقول حساسة ، فيجب عليك معرفة ما يمكنك القيام به وما لا يمكنك القيام به. القانون واضح.

أما بالنسبة للآخرين ، فإن المياه لا تزال غامضة فيما يتعلق بمدى المسؤولية ، حتى الآن فقط. في المملكة المتحدة ، تتزايد المستوطنات والغرامات. تشريعات جديدة في الاتحاد الأوروبي ، بمجرد دخولها حيز التنفيذ ، سوف ينزل بقوة على الشركات ، ويحتمل أن تفرض بلايين الدولارات على شكل غرامات على الشركات التي لا تحمي معلوماتها بشكل كافٍ وتجد نفسها في الطرف الخطأ من خرق البيانات.

ما الذي يمكن أن نتوقعه من الولايات المتحدة في هذا الشأن؟ هذا قليل من عدم وجود تشريع صريح في هذا الشأن. يتم رفع الدعاوى تلقائيا تقريبا عندما يكون هناك خرق للبيانات على نطاق واسع ، ولكن هذا أمر متوقع عندما يرى المحامون علامات الدولار وفرصة لكسب بعض الدعاية. بدلاً من ذلك ، تم وضعه على أساس كل حالة على حدة ، مما أدى بنا إلى النظر في أمثلة أخرى.

2- يجب أن تكون الأضرار واضحة

تحدث خروقات البيانات بشكل متكرر وغالباً ما يبدو أنها تعني القليل جدًا.

ومن المرجح ألا يكون العديد من الدعاوى القضائية من المستهلكين ناجحة للغاية ، لأن الإصابات المحتملة التي تنزل عن الخط من سرقة الهوية لن تصمد كحجة قوية. يجب أن يكون هناك دليل على إصابة فعلية أو وشيكة ، والتي يصعب تقديمها فورًا بعد خرق البيانات. هذا قد يتغير ، ولكن يبدو أن الأمر كذلك حتى الآن.

يعرف معظم المتسللين والمجرمين الإلكترونيين أفضل من تجربة البيانات المكتسبة حديثًا ، والعديد منهم يبحثون ببساطة عن شخص ما لشراء البيانات الخاصة بحلقات سرقة الهوية (من غير المحتمل أن يستخدم أحد المخترقين ملايين أرقام بطاقات الائتمان). وحتى في هذه الحالة ، فإن معظم سرقة الهوية لن تتم سرقتها في وقت واحد ، وهذا يعني أنه من الصعب تنظيم الدعوى الجماعية.

على سبيل المثال ، كان لدى ويندي دعوى جماعية ضدهم ، لكن تم رفض القضية في نهاية المطاف. ذكرت المحكمة أن الأضرار لم تكن كافية ، وبما أن هذه التعويضات تم تعويضها ، فإن القضية لم تقف أمام القانون. أكثر إثارة للاهتمام ، وجدت المحاكم رسوم احتيالية بسيطة على بطاقة الائتمان لم تكن كافية لتسدد الأضرار.

3- الإهمال والبروتوكول المناسب

كمثال على دعوى الدعوى الجماعية التي نفذت ، فاز عملاء نيمان ماركوس بدعوى بقيمة $ 1.6 مليون دولار ضد الشركة بعد التأكد من فشل بائع التجزئة في توفير الحماية المناسبة. في حين أن هذه شركة كبيرة وليست مجرد موقع ويب ، إذا كنت تدير عملًا تجاريًا ، فهذه رسالة واضحة أنه قد لا يتم التسامح مع الإهمال.

الحكومة قد ذهبت بالفعل بعد شركات مثل ويندهام و تيراكوم لفشل في حماية المعلومات بشكل صحيح. بعض الأمثلة على الجرائم تشمل:

• تخزين معلومات البطاقة بدون حماية أو تشفير.
• عدم استخدام جدران الحماية أو غيرها من التدابير الأمنية في المواقع المادية.
• باستخدام كلمات مرور خمنت بسهولة.
• عدم تقييد الاتصالات الخارجية.
• تخزين المعلومات على الخوادم غير المحمية بشكل واضح.

بالإضافة إلى ذلك ، طلبت الحكومة من الشركات تنفيذ إجراءات أمنية أفضل ، مما أضاف تكاليف إضافية أعلى الغرامات.

4- بعض السجلات مهمة أكثر

كما ذكرنا سابقًا فيما يتعلق بالسجلات الصحية ، HIPAA (أو ما يعادلها) سيتم فرض إذا وجدت أن تنتهك.

في الآونة الأخيرة ، كانت هناك سلسلة من خروقات البيانات الصحية رفيعة المستوى سواء في الولايات أو في الخارج ، وسيكون من الغباء الاعتقاد بأنه لن يكون هناك ضغوط متزايدة للتكليف بإنفاذ أكثر صرامة وخلق عقوبات أشد في العصر الرقمي. إذا كان موقعك على الويب مرتبطًا بالرعاية الصحية ، فعليك التفكير في مساعدة الأمان الإلكتروني المهنية.

كما سيتم الاحتفاظ بالسجلات المتعلقة بالإدارة المالية المباشرة أو المعلومات السرية الأخرى على مستوى عالٍ. فشل Morgan Stanley في حماية معلومات العميل وخسرت $ 1 مليون دولار مقابل ذلك.

بالإضافة إلى ذلك ، يجب ملاحظة أن شروط العقد أو أي ظروف ملزمة قانونًا سيكون لها ثقلها في محكمة قانونية. إذا وافق عملك على الحفاظ على بعض المعلومات آمنة ، فأنت مسؤول قانونًا عن الحفاظ على الأمان ، بغض النظر عن سوابق أخرى.

5- يمكن أن تختلف حسب المنطقة

في الولايات المتحدة ، تختلف القوانين من ولاية إلى أخرى فيما يتعلق باستخدام التكنولوجيا ومسؤولية استخدام موقع الويب والخصوصية. لكل ولاية قوانين بشأن الكتب المتعلقة بالجرائم الإلكترونية ، وإن كانت هناك اختلافات في العقوبات والمعايير.

قد يكون الأمر أكثر تعقيدًا إذا كنت تتعامل مع حادث دولي. ليس من السهل فهم المستأجرين في القانون الدولي. وينطبق هذا بصفة خاصة على القوانين المتعلقة بمسؤولية الشركات ، بل وأكثر من ذلك عندما يتعلق الأمر بقوانين جديدة نسبياً تتعلق بالتكنولوجيا.

وكما هو مذكور ، فإن الأنظمة القانونية تعمل بنفس السوابق القانونية كما في التشريعات ، ولم تكن هناك سوابق كثيرة تم وضعها في هذا المجال من القانون. أنت لا تريد أن تكون حالة اختبار ، إما لأن الأشخاص سوف يربطون موقعك بانتهاك للبيانات ، سواء كنت مسؤولاً أم لا. يكاد يكون من المستحيل التعافي من هذا النوع من الضرر الذي لحق بصورتك.

تقليل مخاطر المسؤولية الخاصة بك

يمكن تخفيف مخاطر مسؤوليتك ، على الرغم من ذلك ، حتى لو وجدت نفسك في النهاية الخاطئة للاختراق. إذا كنت مسؤولاً ومفتوحًا بشأن ما حدث ، ولا توجد طريقة معقولة يمكن من خلالها منع الانتهاك ، فمن المحتمل أن تكون في اليمين ويمكن أن تركز على إعادة بناء العلامة التجارية والجمهور لموقعك. كما هو الحال دائما ، تدفع العناية الواجبة توزيعات الأرباح.

باختصار ، يجب عليك القيام بما يلي في أقرب وقت ممكن:

• إلى أقصى حد ممكن ، ضع حماية على موقع الويب الخاص بك من شأنها حماية زوارك. يمكنك تمكين HTTPS على موقعك على الويب ، وتأكد من أن تعليقاتك تخضع للإشراف تلقائيًا (أو عطّلها ، بناءً على موقعك الإلكتروني) ، وحافظ على مكوناتك الإضافية محدّثة وأزل أي منها قديمًا.
• قم بحماية أجهزتك بنفس الطريقة واتخاذ الاحتياطات اللازمة ضد الأخطاء البشرية. من غير المرجح أن يجعلك الشخص الذي لا يتبع الإجراء أو القوانين السليمة أكثر عرضة للإصابة بمسؤولية من الفيروسات الفائقة التي ليس لها دفاع.
• تقرأ على قوانين ولايتك بشأن المسألة. إذا كانت مؤسستك قادرة على تحمل نفقاتها ، فابحث في الحصول على مستشار قانوني لتحديد مخاطر المسؤولية إذا حدث تسريب للمعلومات. يجب أن تدرك أن هذا هو مجال متغير باستمرار ، وربما لا تنطبق السوابق والقوانين التي سادت قبل بضع سنوات.
• حاول إثبات أمن موقع الويب قدر المستطاع. على الرغم من عدم وجود طريقة للقيام بذلك على أكمل وجه ، فحاول تخيل الاستراتيجيات المحتملة التي قد يستخدمها الهاكر الماهر.
• إذا وجدت أن موقعك قد تم اختراقه ، فعليك الرد بسرعة وحسم. تأكد من عدم محاولة تغطية التسريب أو إخفاء مدى الضرر. سوف يجعلك الأمر يبدو أكثر سوءًا في أي تحقيق محتمل وستجعله يبدو كما لو كنت ملومًا (يحق لمستخدمي موقع الويب الخاص بك حماية أنفسهم والدفاع عن أنفسهم). لا تتورط في نفسك وتقبل اللوم الكامل (حتى في منشور المدونة) ، بل اعترف بالوضع وأخبر المستخدم بما تفعله للتخفيف من الضرر ومنع حدوثه مرة أخرى.

هناك على الأرجح تدابير أخرى يمكنك اتخاذها لحماية نفسك، لكنهم أكثر من الظرفية بحيث يكونوا قادرين على تقديم أي فكرة حقيقية حول هذا السؤال حول المسؤولية. أشياء مثل ما إذا كانت البرامج النصية التي تستخدمها على موقعك الإلكتروني تجعلك ضعيفًا (كن حذرًا بشأن الطرق التي تستخدمها لجمع البيانات) ، والبيانات الدقيقة التي تجمعها ومستوى التفاعل الذي تتعامل معه مع جمهورك (قد يكتشف المتسللون اتصالات ومعلومات استقراء من هناك) مسألة عندما يتعلق الأمر بمسألة مسؤولية الأمن الإلكتروني.

بغض النظر عن أفكارك حول مسؤوليتك المحتملة ، ستكون أفضل حالاً إذا كنت تحمي نفسك وتستخدم أي معرفة قد تصادفك. سيستمر هذا الوضع في التغير ، لذا يجب توخي الحذر للتأكد من أنك على علم بأية مخاطر أو قانونية أو متعلقة بالأمن السيبراني. مع الأفكار المناسبة والتفاني ، لا داعي للقلق حول هذه المشكلة.

نبذة عن الكاتب: كاسي فيليبس

Cassie هو مدون التكنولوجيا والأمن السيبراني الذي يكتب بانتظام ل الأفكار الآمنة. يمكنك عادةً العثور عليها للبحث عن اتجاهات جديدة ومحاولة بناء جمهورها. وتأمل أن تساعدك هذه المعلومات في الابتعاد عن التهديدات عبر الإنترنت أثناء بناء نشاطك التجاري.